应急响应-Web2
1.攻击者的IP地址(两个)?
192.168.126.135
192.168.126.129
通过phpstudy查看日志,发现192.168.126.135这个IP一直在404访问 , 并且在日志的最后几条一直在访问system.php ,从这可以推断 该IP可能在扫描网站目录,至于system.php的内容需要进去看代码分析
查看system.php发现是木马文件,因此确定攻击者的第一个IP 192.168.126.135
另外一个IP可以通过日志查看器 ——> 远程桌面登录成功日志 查看登录IP
192.168.126.129
2.攻击者的webshell文件名?
system.php,答案同上,此处也可以使用d盾扫描
3.攻击者的webshell密码?
hack6618 密码在system.php文件中可见
4.攻击者的伪QQ号?
777888999321
思路:涉及到QQ号,首先是找到QQ文件的位置,QQ为每个账号都设置了文件夹 因此只要找到该目录就能找到攻击者的伪QQ号
通过翻阅文件,可以看到Tencent Files文件,同时也可以借助文件分析工具LastActivityView查看近期修改的文件
5.攻击者的伪服务器IP地址?
256.256.66.88
在上个问题中可以看到frpc.ini.txt文件被修改过 ,frpc是用来内网穿透的,配置文件中存放服务器的IP和端口,可以看到伪服务器的地址 256.256.66.88(是伪地址!)
6.攻击者的服务器端口?
答案同上:65536
7.攻击者是如何入侵的(选择题)?
ftp:通过日志可以判断,虽然ftp的日志很多 但是我们只要过滤出状态码为230的记录就行了 (230表示ftp用户登录),往下判断可以看到 黑客上传了一个system.php
8.攻击者的隐藏用户名?
hack887$:在C盘用户下可见,也可以去注册表查看